[디코인뉴스] 트로이목마 구스터프, 암호화 해킹 경고

0
554

[디코인뉴스=최정민기자] 다크넷에 새로운 안드로이드용 트로이 목마인 구스터프는 125개의 암호화 및 뱅킹 응용 프로그램을 대상으로 한다.

구스터프는 지난해 4월부터 존재해왔으며 Anubis, 레드 얼터 및 뱅크봇과 함께 금융권에 치명적인 위험 중 하나다. 사이버 보안회사 그룹 IB는 구스터프가 캐피털 원, 웰스 파르고, PNC 뱅크, 코인베이스 및 비트코인 월렛을 비롯한 다양한 은행 및 암호 응용 프로그램에 대한 로그인 자격 증명을 확인하고 트랜잭션을 자동화할 수 있다고 제안한다.

웨스턴 유니온, 페이팔, 월마트 및 스카이프를 비롯한 다른 결제 및 메시징 앱에 대한 자격 증명을 타겟팅하는 것으로 알려져 있다.

구스터프는 안드로이드 액세시빌리티 서비스를 공격함으로써 해킹을 시작한다. 장애인을 위해 설계된 이 서비스는 화면 항목을 스스로 탭할 수 없는 사용자를 위해 상호 작용을 자동화 할 수 있다.

그룹 IB의 악성 코드 부서의 동적 분석 책임자인 루스탐 미르카시모브는 이러한 행동이 대부분의 트로이 목마에게는 놀라운 일은 아니지만 구스터프는 위험하다고 말한다.

그는 “접근성 서비스를 사용하는 트로이 목마는 드물지 않다”며 “그러나 구스터프의 독특한 특징은 접근성 서비스를 통해 ATS를 수행한다는 것이다”고 밝혔다. 이어 “구스터프가 ATS를 사용한다는 사실은 Anubis 및 레드얼터보다 더욱 발전됐다”고 덧붙였다.

ATS는 자동 이체 서비스를 의미한다. ATS가 사용될 때 감염된 컴퓨터를 통해 트랜잭션이 발생한다. 즉 구스터프는 자금을 훔치기 위해 사용할 로그인 자격 증명을 찾을 필요가 없다. 대신 컴퓨터 또는 모바일 장치를 감염시키고 거기에서 자체적으로 자격 증명을 채우므로 금융 이체가 발생할 수 있다.

구스터프는 구글 플레이 프로텍트 보안 기능 사용을 중지하고 로그인 정보를 도용할 수 있는 특정 앱으로 표시되는 맞춤 푸시 알림을 표시할 수 있다. 이 제품은 문서, 비디오 및 사진에서 데이터를 수집할 수 있으며 전자 장치를 원래의 공장 설정으로 재설정해 존재를 숨길 수 있다.

이처럼 암호화폐 세계는 여전히 악의적인 의도를 가진 개인이나 제품으로 진행되고 있다. 최근 코인베인이나 드래곤EX와 같은 암호화폐 거래소의 잠재적 해킹은 디지털 통화 세계의 안전과 개인 정보 보호가 그들이 해야할 일이 아니라고 주장하지만 분석가들은 보호를 유지할 방법이 있다고 말한다.

한편 그룹 IB는 구스터프의 경우 구글의 보안 검색을 우회할 수 없기 때문에 구글 플레이 검색 시 사용가능한 앱으로 다운로드를 제한해야 한다고 밝혔다.